#rsETHAttackUpdate

Cập nhật vụ tấn công rsETH: Ngày 26 tháng 4 năm 2026

Vào ngày 18 tháng 4 năm 2026, khoảng 17:35 UTC, các hacker đã khai thác một lỗ hổng nghiêm trọng trong cầu chéo chuỗi LayerZero V2 của Kelp DAO dành cho rsETH. Sự cố này là vụ khai thác DeFi lớn nhất trong năm 2026 tính đến thời điểm hiện tại, với khoảng 116.500 rsETH chưa được thế chấp đã được tạo ra và rút khỏi hệ thống—được định giá khoảng 292-293 triệu đô la vào thời điểm tấn công, chiếm khoảng 18% tổng cung lưu hành của rsETH.

Cách thức hoạt động của vụ tấn công

Vụ khai thác nhắm vào cơ chế cầu rsETH của Kelp, sử dụng hệ thống khóa và đúc của LayerZero. Trong hoạt động bình thường, quỹ được khóa trên chuỗi nguồn và đúc trên chuỗi đích, với việc xác minh do Mạng xác minh phi tập trung xử lý. Lỗ hổng nằm ở tuyến đường Unichain đến Ethereum, được cấu hình với một nút xác minh duy nhất thay vì một nhóm đa chữ ký.

Những kẻ tấn công, được cho là thuộc nhóm Lazarus của Bắc Triều Tiên và nhóm phụ TraderTraitor, đã xâm nhập vào hai nút RPC của LayerZero Labs. Họ tiêm dữ liệu giả mạo mô phỏng việc đốt rsETH trên Unichain đồng thời tiến hành các cuộc tấn công DDoS vào các RPC bên ngoài để buộc chuyển sang hạ tầng bị xâm phạm của họ. Sự thao túng này đã lừa đảo nút xác minh duy nhất chấp thuận một gói tin LayerZero giả mạo, phát hành quỹ mà không có bất kỳ giao dịch đốt thực sự nào xảy ra trên chuỗi nguồn.

Quan trọng là, đây không phải là lỗi của hợp đồng thông minh mà là một cuộc tấn công hạ tầng ngoài chuỗi liên quan đến việc đầu độc RPC. Phần mềm độc hại đã tự xóa sau khi khai thác. Một cuộc tấn công thứ hai nhằm vào khoảng 40.000 rsETH trị giá khoảng 95-100 triệu đô la đã bị chặn thành công bởi cơ chế tạm dừng khẩn cấp của Kelp.

**Phản ứng ngay lập tức và tác động thị trường**

Trong vòng một đến hai giờ sau khi phát hiện, nhiều giao thức đã thực hiện các biện pháp khẩn cấp. Kelp DAO đã tạm dừng các hợp đồng rsETH trên Ethereum và tất cả các mạng Layer 2 đồng thời đưa vào danh sách đen các địa chỉ tấn công. Aave V3 và V4 đã đóng băng các thị trường rsETH và wrsETH, đặt tỷ lệ vay trên giá trị về 0, và sau đó đóng băng WETH trên nhiều chuỗi trước khi một phần mở lại các thị trường Ethereum vào ngày 21 tháng 4. Các giao thức khác bị ảnh hưởng như SparkLend, Fluid, Upshift, Compound, Euler và Lido cũng đã tạm dừng các thị trường liên quan đến rsETH.

Kẻ tấn công đã gửi vào 89.567 rsETH trị giá khoảng $221 triệu đô la làm tài sản thế chấp trên Aave V3 trên Ethereum và Arbitrum, vay khoảng 82.650 WETH trị giá 190,9 triệu đô la cộng với 821 wstETH trị giá 2,3 triệu đô la. Các yếu tố sức khỏe của các vị trí này dao động trong khoảng 1,01 đến 1,03, cho thấy mức độ đòn bẩy và rủi ro cực kỳ cao trong việc thế chấp. Các khoản gửi nhỏ hơn cũng đã được thực hiện trên Compound V3 và Euler.

Thị trường rộng lớn hơn đã cảm nhận những cú sốc lớn. Khoảng $13 tỷ đô la tổng giá trị bị rút khỏi các nền tảng DeFi trong vòng hai ngày. Tỷ lệ sử dụng WETH đạt 100% trên các chuỗi chính, và rsETH đã mất peg trên các mạng Layer 2. Tổng thiệt hại do hack trong tháng 4 năm 2026 đạt khoảng $606 triệu đô la, trở thành một trong những tháng đắt đỏ nhất trong lịch sử DeFi.

**Tình hình phục hồi hiện tại**

Tính đến ngày 26 tháng 4, đã xuất hiện một số diễn biến tích cực. Hội đồng An ninh Arbitrum đã thành công trong việc đóng băng 30.766 ETH trị giá khoảng $71 triệu đô la từ một địa chỉ tấn công vào ngày 21 tháng 4. Các quỹ này hiện đang được giữ trong một ví do quản trị kiểm soát, với sự phối hợp liên tục giữa hội đồng và các cơ quan thực thi pháp luật.

Các giao thức DeFi đã cam kết khoảng 43.500 ETH để khôi phục dự trữ rsETH. Hội đồng quản trị Aave đã đề xuất góp 25.000 ETH trị giá khoảng $58 triệu đô la thông qua quỹ DeFi United, hiện tổng cộng khoảng $161 triệu đô la. Kelp và LayerZero đang phối hợp các nỗ lực phục hồi, với module Umbrella của Aave giữ khoảng $54 triệu đô la trong aWETH đang được xem xét như một cơ chế bù đắp tiềm năng.

Báo cáo sự cố ngày 20 tháng 4 của Aave đã đề ra hai kịch bản chính để xử lý các khoản nợ xấu tiềm năng. Kịch bản đầu tiên liên quan đến việc phân phối tổn thất đồng đều trên toàn bộ nguồn cung rsETH, dẫn đến mất peg 15,12% và khoảng $124 triệu đô la nợ xấu tổng cộng. Kịch bản thứ hai nhắm vào các khoản cắt giảm chỉ trên Layer 2 là 73,54% đối với các khoản rsETH từ xa, điều này sẽ tạo ra khoảng $230 triệu đô la nợ xấu với tác động nghiêm trọng đến các chuỗi như Mantle, đối mặt với thiếu hụt 71%.

LayerZero đã ngưng sử dụng cấu hình DVN 1-đến-1 dễ bị tấn công và thay thế hạ tầng RPC bị xâm phạm. Họ xác nhận rằng không có ứng dụng nào khác bị ảnh hưởng bởi lỗ hổng này.

**Những điểm chính rút ra**

Vụ khai thác rsETH làm nổi bật các rủi ro nghiêm trọng trong kiến trúc cầu chéo chuỗi, đặc biệt là những hệ thống dựa vào cơ chế xác minh đơn điểm và hạ tầng RPC tập trung. Vụ tấn công cho thấy các thành phần ngoài chuỗi có thể bị xâm phạm ngay cả khi hợp đồng thông minh vẫn an toàn.

rsETH trên mạng chính Ethereum vẫn hoàn toàn được đảm bảo bởi các khoản gửi staking của Kelp. Vấn đề cốt lõi nằm ở bộ điều hợp cầu Layer 2, nơi 40.373 rsETH đảm bảo cho 152.577 yêu cầu, tạo ra thiếu hụt khoảng 112.000 rsETH.

Việc phục hồi hoàn toàn khoản $292 triệu đô la ban đầu là điều khó xảy ra trong ngắn hạn. Chainalysis và Certik vẫn theo dõi dòng chảy quỹ. Kho bạc của Aave khoảng $181 triệu đô la cộng với doanh thu liên tục cung cấp một lớp đệm chống lại các khoản lỗ đã thực hiện. Cả đề xuất quản trị của Kelp và Aave vẫn đang hoạt động khi cộng đồng tranh luận về cơ chế phân bổ thiệt hại.

Trong tương lai, ngành công nghiệp cần thúc đẩy việc triển khai đa nhóm xác minh DVN, hệ thống giám sát bất biến và các cuộc kiểm tra toàn diện hạ tầng ngoài chuỗi. Trong khi TVL restaking đã bị rung chuyển, việc staking trên mạng chính Ethereum vẫn còn nguyên vẹn. Tất cả các bên liên quan nên theo dõi các diễn đàn quản trị của Aave và Kelp cùng các báo cáo hậu sự cố của LayerZero để cập nhật các diễn biến mới.